Segurança da cadeia de suprimentos

As organizações monitoram, detectam e tentam responder constantemente a alertas e potenciais ameaças ao seu ambiente, provenientes de diversas fontes. Uma fonte em particular, que pode ser um tanto difícil de identificar e é muito menos discutida, é a segurança da cadeia de suprimentos. As organizações dedicam muito tempo tentando entender quando dispositivos não autorizados são adicionados às suas redes e, em seguida, como eles são protegidos e monitorados. De modo geral, não inspecionamos e analisamos rigorosamente os dispositivos que recebemos de nossos fornecedores de confiança, o que é compreensível, visto que as habilidades e ferramentas para inspecionar esses dispositivos não são as de um profissional de segurança típico.

Como o governo federal garante as cadeias de suprimentos

Os próprios fornecedores dedicam muito tempo e esforço para compreender e proteger as suas cadeias de abastecimento, e o governo dispõe de programas rigorosos, incluindo estratégia do DHS e o DARPA SHIELD. No entanto, quando olhamos além dos fornecedores e do governo federal, percebe-se uma queda bastante significativa em termos de capacidade e foco. Como consumidores de hardware, presumimos que as fontes das quais compramos são confiáveis e que a segurança desses dispositivos está incluída no custo do hardware. Mas, ao fazer essa suposição, nos expomos a um risco potencial, ou pelo menos o ignoramos.

As ameaças potenciais na cadeia de suprimentos são comuns.

Não vou entrar em um discurso alarmista do tipo "o mundo está acabando e todo o seu hardware está comprometido", mas, ao considerar todos os riscos potenciais para sua organização, é importante manter as ameaças potenciais em sua cadeia de suprimentos sob controle. E esses riscos não são inéditos. Há exemplos de fornecedores que enviam hardware novo e recondicionado com spyware, como nos casos de Lenovo pré-instala spyware em seus laptops. e Dell alerta para malware em placas-mãe de servidores.. Também existe software de prova de conceito que foi construído que, na época do lançamento, podia ser aproveitado em mais de 100 placas-mãe diferentes. E todos os anos, Defcon, Além de concursos de barba, resfriamento de cerveja e hacking de carros, também há um concurso específico para ter acesso a equipamentos invioláveis (com lacre de segurança) e suas embalagens. Isso não é apenas FUD (medo, incerteza e dúvida).

Como garantir a segurança da cadeia de suprimentos

Então, o que você pode fazer a respeito? Obviamente, pesquisar como seus fornecedores protegem sua cadeia de suprimentos e responsabilizá-los é um bom começo, mas isso não ajuda depois que o problema já aconteceu. Como regra geral, você deve ser cauteloso com equipamentos recondicionados, especialmente quando eles não vêm diretamente do fornecedor original (OEM). Mas se um dispositivo for comprometido, seja por meio de hardware, malware ou qualquer outro método, haverá alguma forma de comunicação com uma fonte externa para que esses recursos permitam a exfiltração de dados ou a execução remota de ações. Proteger sua rede se resume a operações de segurança padrão e ao monitoramento das comunicações de rede que ocorrem na empresa, do endpoint ao perímetro.

Desafios à segurança da cadeia de suprimentos

No entanto, essa abordagem apresenta dois desafios. Primeiro, se o ativo afetado for um laptop ou dispositivo móvel, existe a possibilidade de aproveitar o Wi-Fi aberto (conforme descrito por Jonathan Brossard, no whitepaper citado anteriormente), que você não pode monitorar. E sua infraestrutura fixa também pode comprometer sua rede em geral. Por exemplo, um servidor comprometido com acesso restrito à internet ainda pode acessar sua rede Wi-Fi para visitantes, conectar-se a um site externo e baixar um conjunto malicioso de instruções de comando e controle.

O segundo problema é a questão comum de ter um volume excessivo de dados para monitorar. Como filtrar todo o tráfego originado de fontes internas? Embora listas de permissão e strings de agente do usuário sejam ótimas maneiras de garantir que o tráfego de rede seja direcionado apenas para locais autorizados, elas nem sempre permitem identificar o problema. Ser capaz de detectar uma quantidade excepcionalmente grande de falhas de agente do usuário ou solicitações da web com falha pode ser um dos melhores métodos para identificar esse tipo de comunicação, mas, devido ao enorme volume de eventos, isso geralmente é inviável.

Como a automação de segurança viabiliza a segurança da cadeia de suprimentos

É aqui que automação de segurança Pode ser seu aliado, ajudando você a modelar a identificação de falsos positivos, tentativas de comunicação benignas e, em última instância, maliciosas em velocidades de máquina. Uma coisa que você pode fazer é ser proativo na investigação de sessões de rede que se destinam a destinos novos ou desconhecidos e notificar automaticamente (via Slack, e-mail, ticket, etc.) sua equipe de segurança. E se você estiver com dificuldades para investigar o endereço de destino (IP/URL/domínio), pode usar a automação para aproveitar recursos de investigação, como WhoIS, Domínio, ASN, GeoIP, etc. informações de inteligência sobre ameaças. Essas ferramentas podem ser utilizadas para identificar automaticamente endereços de destino potencialmente maliciosos e tornar o processo de triagem de grandes quantidades de sessões de rede mais gerenciável.